home.pl - szantażowane
Jan Strybyszewski
Jacys szantazyscii groza ujawnieniem "materiałów" w tym portalu MEN na
serwerach firmy home.pl
Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu nie
zagraza serwisom www i ich tresci [jak twierdzi home.pl]
elmer radi radisson
http://tvp.pl/247,20070405482063.strona
http://hack.pl/aktualnosci/oswiadcznie_w_sprawie_wykrycia_krytycznej_luki_serwerow_homepl_593
--
Dworzec PHP.
Jan Strybyszewski
O dzieki, ciekawe. Gdyby nie ten MEN i wejscie do CMSu to mozna by to
uznac za zart [logi] . A tak wejscie nawet do otwartego domu CMS MENu
jest przestepstwem. Pytanie czy to wlasne dzielo MEN czy jeden z CMSow
home.pl bo w drugim przypadku zagrozone sa setki stron.
januszek
> Jacys szantazyscii groza ujawnieniem "materiałów" w tym portalu MEN na
> serwerach firmy home.pl
Tu jest rzecz opisana: http://tiny.pl/dqjf - a z tekstu wynika, że
tymi szantazystami sa redaktorzy serwisu hack.pl.
j.
--
http://www.BSGwTVP.info - Battlestar Galactica w TVP2
Najlepszy serial sci-fi ostatnich lat nareszcie w Polsce!
Nie przegap - powiadom przyjaciół o ataku Cylonów!
Jeszcze dziś podpisz apel do telewizji o zmianę pory emisji!
Marcin 'Qrczak' Kowalczyk
napisał(a):
> http://tvp.pl/247,20070405482063.strona
> http://hack.pl/aktualnosci/oswiadcznie_w_sprawie_wykrycia_krytycznej_luki_serwerow_homepl_593
http://hacking.pl/pl/news-6540-Hackpl_za_200000_zl_nie_napiszemy_o_Waszej_luce_w_systemie.html
http://ihack.pl/hack.pl-200-tys-za-statystyki
http://hack.pl/forum/thread901,hackpl_wykrylo_krytyczna_luke_serwerow_homepl.html
--
__("< Marcin Kowalczyk
\__/ qrc...@knm.org.pl
^^ http://qrnik.knm.org.pl/~qrczak/
simon
Co za pieprzenie... ludzie znaleźli dziurę w home.pl, a firmowe
marketoidy odwróciły wszystko do góry nogami... przecież się nie
przyznają publicznie, że dali ciała.
--
simon
Maksymilian Muller
> Co za pieprzenie... ludzie znaleźli dziurę w home.pl, a firmowe
> marketoidy odwróciły wszystko do góry nogami...
Dziura dziura ale nie taka kase. Jakis ten kraj powalony jest, kazdy
cche zarobic na kims a nikt poprostu pomoc :-/
Max
simon
> Dziura dziura ale nie taka kase. Jakis ten kraj powalony jest, kazdy
> cche zarobic na kims a nikt poprostu pomoc :-/
Home by bez problemu mogło pocisnąć dowolny kit tak jak teraz, oni mają
gdzieś klientów, jadą na starej opinii, byle jak najkrócej...
--
simon
Bartosz 'bart' Nowakowski
> Home by bez problemu mogło pocisnąć dowolny kit tak jak teraz, oni mają
> gdzieś klientów, jadą na starej opinii, byle jak najkrócej...
Jakie jest home to każdy wie, jednak forma listu i jego merytoryczna
zawartość pozostawia niesmak jakby na to nie patrzeć. A w świat poszło,
że to znowu *hackerzy* :/
--
Bartosz 'xbartx' Nowakowski
"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"
Tomasz Piłat
>> Home by bez problemu mogło pocisnąć dowolny kit tak jak teraz, oni mają
>> gdzieś klientów, jadą na starej opinii, byle jak najkrócej...
>
> Jakie jest home to każdy wie
A jakie?
Ponc
--
Kto misiowi urwał ucho?
Mario
> Co za pieprzenie... ludzie znaleźli dziurę w home.pl, a firmowe
> marketoidy odwróciły wszystko do góry nogami... przecież się nie
> przyznają publicznie, że dali ciała.
Jeśli faktycznie tak jest, a wszystko na to wygląda, że to jest nagonka
na "szantażystów", to po znalezieniu kolejnej dziury w home.pl, powinni
to tak rozdmuchać, żeby nauczyć trochę pokory baranów z home.
--
MZ
Freude am Fahren
Radoslaw HORODNICZY
napisał w wiadomości news:ev6ahv$qhp$1...@nemesis.news.tpi.pl...
Niektorzy maja rodzine i dzieci do wykamrienia wiec co sie dziwisz?
Pozatym home.pl to bogata firma istac ja na zaplacenie komus za
konsultacje w sprawie sec.
Samotnik
Home ostatnio zwraca maile, które klasyfikują jako spam! W dobie robaków
wstawiających przypadkowe From: niewinnych ludzi... Brak słów po prostu.
--
Samotnik
elmer radi radisson
> Jeśli faktycznie tak jest, a wszystko na to wygląda, że to jest nagonka
> na "szantażystów"
w temacie slowa na "s" niestety autorzy maila w kwestii sformulowania
swojej propozycji sie nie wykazali szczegolna finezja czy tez
wyczuciem, wiec nie dziwi mnie ze taka "oferta" prosto z mostu mogla
zostac odczytana tak a nie inaczej. a pod wymienionymi wczesniej url'ami
mozna znalezc ze akurat tresc propozycji byla jak najbardziej
autentyczna.
--
dworzec PHP.
simon
> w temacie slowa na "s" niestety autorzy maila w kwestii sformulowania
> swojej propozycji sie nie wykazali szczegolna finezja czy tez
> wyczuciem, wiec nie dziwi mnie ze taka "oferta" prosto z mostu mogla
> zostac odczytana tak a nie inaczej. a pod wymienionymi wczesniej url'ami
> mozna znalezc ze akurat tresc propozycji byla jak najbardziej
> autentyczna.
Daj spokój... wyszło tak, bo home od razu poczuło możliwość zrobienia z
własnej gafy materiału marketingowego... myyy wieelka bezbroonna firma
padliśmy ofiarą napadu, ale na szczęście nasi super hiper technicy już o
tym wiedzieli. Gówno prawda.
--
simon
futszaK
> Home ostatnio zwraca maile, które klasyfikują jako spam! W dobie robaków
> wstawiających przypadkowe From: niewinnych ludzi... Brak słów po prostu.
z takim komunikatem:
Technical details of permanent failure:
PERM_FAILURE: SMTP Error (state 9): 550 you or your mail server sends spam
and is in our spamers database... ty lub twoj serwer pocztowy rozsyla spam
i znajduje sie w naszej bazie spamerow
co przypomina mniej więcej komunikat jednego z operatorów komórkowych:
"numer jest nieprawidłowy lub abonent jest niedostępny"
--
futszaK
0601061867
Nie przeszkadza mi ze ktos mnie myli z kobieta,
chyba ze ta ostatnia jest Renata Beger :>
Maciej Jan Broniarz
> On Sat, 07 Apr 2007 09:01:34 +0000, Samotnik wrote:
>
> > Home ostatnio zwraca maile, które klasyfikują jako spam! W dobie robaków
> > wstawiających przypadkowe From: niewinnych ludzi... Brak słów po prostu.
>
> z takim komunikatem:
>
> Technical details of permanent failure:
> PERM_FAILURE: SMTP Error (state 9): 550 you or your mail server sends spam
> and is in our spamers database... ty lub twoj serwer pocztowy rozsyla spam
> i znajduje sie w naszej bazie spamerow
>
>
> co przypomina mniej więcej komunikat jednego z operatorów komórkowych:
> "numer jest nieprawidłowy lub abonent jest niedostępny"
>
Taki zabieg stosuje nie tylko HOME, KEI tez blokuje maile wysylanie
np, z idsla tpsa i podaje urla pod ktorym znajduje sie baza
zablokowanych IP.
Dowcip w tym, ze baza o naszym IP nie wie nic :)
--
[ -----< Maciej Jan Broniarz || gau...@gausus.net >------ ]
| Siamo qui \ sotto la stessa luce \ sotto la sua croce \ |
| cantando ad una voce \ E l'Emmanuel Emmanuel, Emmanuel, |
[ ---------------< E l'Emmanuel, Emmanuel >-------------- ]
elmer radi radisson
> Daj spokój... wyszło tak, bo home od razu poczuło możliwość zrobienia z
> własnej gafy materiału marketingowego... myyy wieelka bezbroonna firma
> padliśmy ofiarą napadu, ale na szczęście nasi super hiper technicy już o
> tym wiedzieli. Gówno prawda.
to co zrobilo home - to jest inna sprawa. natomiast przejscie do rzeczy
w wyslanej korespondencji za pomoca gadki o "koszcie informacji"
kojarzy sie po prostu zle, niezaleznie od prawdziwych intencji autora
maila. kropka.
--
nine inch thumbnails.
Maciej Jan Broniarz
<ra...@spam-spam-spam-eggs-bacon-and.spam.wireland.org> napisał(a):
mial czysto altruistyczne intencje ;)
Mam niejasne wrazenie ze w druga strone tez by taki manwer przeszedl
ale moze demonizuje ;)
gausus
Michal Zalewski
hack.pl a home.pl, przeczytałem wszystkie artykuły w prasie - i przyznam,
że nie jestem zachwycony obrazem, który się z tego wyłania.
Zacznę od tego, że jestem zwolennikiem badania bezpieczeństwa technologii,
na których niezawodności polegamy, a także publicznej debaty na ten temat.
Wydaje mi się, że długofalowe korzyści takiego procesu niemal zawsze
znacznie przewyższają ewentualne zagrożenia i niedogodności.
W tym przypadku, sytuacja jest o tyle śliska, że mamy do czynienia z próbą
przełamania zabezpieczeń serwisu WWW bez wiedzy i zgody jego operatora.
Działanie takie samo w sobie może być karalne (KK, art 267, paragraf 1 +
ew. nieautoryzowany dostęp do danych chronionych ustawowo) i niekoniecznie
jest pożądane, ale oczywiście gdy ewidentna jest dobra wola osoby
bezinteresownie zgłaszającej problem, a jej działania nie wpłynęły
negatywnie na procesy biznesowe - wyjątkowo nierozsądne byłoby, gdyby
firma domagała się wszczęcia postępowania, oraz mało prawdopodobne jest
to, by cokolwiek ugrała w prokuraturze lub w sądzie. Ba, przyzwoitość
nakazuje, by taka firma podziękowała danej osobie i być może wynagrodziła
jej wkład w poprawę bezpieczeństwa serwisu.
Tym niemniej, pamiętajmy, że to *tylko* nasze życzenia, a nie obowiązek
atakowanego! Osoba, która próbuje doszukać się dziur na cudzym systemie
porusza się od samego początku po dość ryzykownym terenie i musi liczyć
się z tym, że jest na łasce innych. Grając czysto, może mieć nadzieje na
pozytywny PR i korzyści dla obu stron - ale gdy jej intencje albo metody
budzą wątpliwości, prosi się o zasłużone kłopoty.
Ba, posunąłbym się dalej - w pewnych sytuacjach po prostu nie wypada
wspierać takiej działalności! Gdy mamy podstawy podejrzewać, że atakujący
nas działa na pograniczu prawa albo poza nim, albo gdy czujemy, że próbuje
nas szantażować, to choćby i ekonomicznie opłacałoby się nam zapłacić za
święty spokój, przyzwoitość dyktuje, by takich układów nie wspierać, a
zamiast tego zdemaskować cwaniaka.
I to tyle mojego światopoglądu ;-)
W opisywanym w prasie przypadku home.pl, sytuacja wydaje się być dość
jasna - atakujący skonstruowali swojego maila dość pokrętnie i
dyplomatycznie, ale jego oczywistym przesłaniem jest alternatywa: 200k
PLN, albo publikujemy informacje:
"Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu
widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news
dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.
Koszt informacji szacujemy wstępnie na 200,000 złotych, cena -
oczywiście - podlega negocjacji."
Niezbyt przejrzyscie napisane, ale zastanówmy się - jeśli firma odmówi
zapłacenia 200k PLN, news pojawi się na hack.pl, więc także autorzy
serwisu dowiedzą się o podatności. Jeśli zapłaci - no właśnie, to co?
Jeśli news tak czy tak miałby się pojawić, to płacenie czegokolwiek nie ma
większego sensu (takoż fragment "ale też rozumiemy...").
Dla mnie jest to czytelna groźba - jeśli nam zapłacicie, nie ujawnimy
czegoś, co narobi wam wstydu, narazi was na ataki, i może napytać kłopotów
prawnych - kontrola z GIODO, ABW, kto wie od kogo jeszcze. To nie jest
godziwe wynagrodzenie za przekazaną wiedzę - w końcu chodziło o prozaiczną
podatność dotyczącą ścieżek do statystyk, którą home.pl samodzielnie
znalazło w pół godziny po otrzymaniu maila; a poza tym, kwota
*wielokrotnie* przewyższała rynkowe ceny kompletnych audytów aplikacji o
tych rozmiarach, nawet w wykonaniu firm audytorskich z wielkiej czwórki.
To jest kasa za milczenie.
Nie mogę tego widzieć w żaden inny sposób, jak tylko cyniczna i
przemyślana, zapewne nie pierwsza, próba wymuszenia absurdalnie wysokich
korzyści finansowych za utajenie faktów. Wierzę głęboko w piętnowanie
fuszerki, w full disclosure, a na miejscu home.pl czułbym się zawstydzony
i postarałbym się zorganizować porządny, zewnętrzny audyt zabezpieczeń -
ale to w żaden sposób nie usprawiedliwia praktyk "biznesowych" serwisu
hack.pl, które bardziej kojarzą mi się z cwaniaczkami w dresach
inkasującymi opłaty za "ochronę" od sklepikarzy, niż troską o dobro ogółu.
Bardzo cieszę się, że home.pl, jako jedna z niewielu firm, miało odwagę
ujawnić tego typu groźbę zamiast zapłacić, bo prawdopodobnie wpłynie to na
poprawę klimatu w polskim światku IT, gdzie takie zjawiska są (niestety)
coraz częstsze.
/mz
simon
> Bardzo cieszę się, że home.pl, jako jedna z niewielu firm, miało odwagę
> ujawnić tego typu groźbę zamiast zapłacić, bo prawdopodobnie wpłynie to na
> poprawę klimatu w polskim światku IT, gdzie takie zjawiska są (niestety)
> coraz częstsze.
Nie wiedziałem, że marketing w home pracuje w święta...
--
simon
Michal Zalewski
> Nie wiedziałem, że marketing w home pracuje w święta...
Kolega tu nowy, zgaduję. Witam!
/mz
Grzegorz Niemirowski
> Niektorzy maja rodzine i dzieci do wykamrienia wiec co sie dziwisz?
Którzy? Jeden z tych gości to student, który mieszka w tym samym akademiku
co ja :)
--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i aktualności ze świata Outlook Express: grzegorz.net/oe
Uptime: 1 day, 20 hours, 39 minutes and 46 seconds
Sebastian Greyer Szary
Chyba bardzo nowy.
Ale co do całej sprawy to jest ewidentna próba wyłudzenia pieniędzy.
Ale cóż, chłopaki teraz będą musieli się tłumaczyć przed Policją i
ABW.
--
Sebastian "Greyer" Szary
simon
> Kolega tu nowy, zgaduję. Witam!
Niestety pudło, ale witam również :]
--
simon
Radoslaw HORODNICZY
wiadomości news:ev8eia$p2t$1...@opal.icpnet.pl...
> Radoslaw HORODNICZY <radekh_...@gmail.com> napisał(a):
>> Niektorzy maja rodzine i dzieci do wykamrienia wiec co sie dziwisz?
>
> Którzy? Jeden z tych gości to student, który mieszka w tym samym akademiku co
> ja :)
>
A moze po prostu zbiera na wino :)))
Chodzi mi o ogol, bo kazdy by chcial wszystko za free :)
Adam
> Nie wiedziałem, że marketing w home pracuje w święta...
>
twojego przedpiścy. I dodaj do tego wyszukiwania jeszcze takie słowo:
lcamtuf - napisz potem łaskawie jaka była twoja mina :)
A.
Mateusz Papiernik
> Aleś dał popalić :) Wpisz w pierwszą lepszą wyszukiwarkę imię i nazwisko
> twojego przedpiścy. I dodaj do tego wyszukiwania jeszcze takie słowo:
> lcamtuf - napisz potem łaskawie jaka była twoja mina :)
To sa jeszcze tacy, ktorzy nie slyszeli o Michale? :) Jak bylem
dzieckiem, to mi historie o lcamtufie opowiadali ;)
--
Mateusz Papiernik, Maticomp Webdesign
ma...@maticomp.net, http://www.maticomp.net
"One man can make a difference" - Wilton Knight
Bartosz 'bart' Nowakowski
>> Jakie jest home to każdy wie
>
> A jakie?
Duże. Od pewnego czasu prawie kompletny brak reakcji na zgłaszany do
nich spam to mój zarzut a jeszcze się trochę znajdzie od innych.
Mirosław Jaworski
> W tym przypadku, sytuacja jest o tyle śliska, że mamy do czynienia z próbą
> przełamania zabezpieczeń serwisu WWW bez wiedzy i zgody jego operatora.
Nie było próby przełamania zabezpieczeń, bo takowych nie było.
Art. 267 k.k. nie ma zastosowania.
Wyrok SN z 24 kwietnia 1958 r., IV KRN 170/58:
"Podstawową istotą włamania jest wtargnięcie sprawcy do zamkniętego
pomieszczenia, przez usunięcie przy użyciu siły fizycznej przeszkody
zamykającej dostęp do danego pomieszczenia. Pomieszczenie musi być
zamknięte, tj. w taki sposób zabezpieczone przed wtargnięciem osób
niepowołanych by normalne wejście było niemożliwe. Usunięcie takiej
przeszkody jest wyraźnym obejściem woli właściciela pomieszczenia
niedopuszczenia osoby trzeciej do tegoż pomieszczenia. Zaznaczyć tu
należy, iż wola ta musi być w poważny sposób wyrażona. Zamknięcie
pomieszczenia na zwykły haczyk, który bez większej trudności każdy
może odsunąć czy też zwykłą klamkę bez użycia klucza nie może być
traktowane jako zamknięcie pomieszczenia i w takich wypadkach wejścia
doń sprawcy i dokonanie kradzieży nie można traktować jako włamania."
Pogląd wyjaśniający istotę "zabezpieczenie" w rozumieniu kodeksu
karnego stał się przedmiotem uchwały całego składu Sądu Najwyższego
(25 czerwca 1980, VII KZP 48/78 ):
"Za pomieszczenie zamknięte można uznać między innymi: wszelkiego
rodzaju budynki, skarbce, schowki (np. kasy pancerne, kasetki,
szafy, biurka), specjalne środki transportu (np. kolejowe wagony,
samochody: chłodnie, cysterny, warsztaty) i inne środki służące
do transportu ludzi lub mienia oraz wszelkiego rodzaju zbiorniki
i pojemniki służące do przechowywania, przekazywania lub
przesyłania mienia do obrotu towarowego, transportu.
Warunkiem uznania któregokolwiek z wymienionych przykładowo
pomieszczeń za zamknięte, tj. za takie, które może być obiektem
włamania w rozumieniu art. 208 k.k., jest ustalenie nie tylko
okoliczności, że powierzchnię zamkniętą tworzy jego zwykła
konstrukcja, ale również i okoliczność, że jego otwory poza
zwykłym zamknięciem (np. zamknięcie drzwi na zwykłą klamkę,
haczyk, zewnętrzną zasuwkę; zbiornika lub pojemnika - zwykłą
pokrywą) - były zaopatrzone w specjalne przeszkody materialne
(zamknięcie) utrudniające dostęp do wnętrza pomieszczenia.
Takimi przeszkodami materialnymi mogą być w zależności od
konstrukcji, rodzaju lub przeznaczenia pomieszczenia - np.
różnego rodzaju kłódki czy plomby."
Kodeks Karny, Część szczególna, str. 802, Nb.29
"... przeszkoda zabezpieczająca mienie nie powinna mieć
charakteru symbolicznego lecz powinna być przeszkodą realną,
broniącą rzeczywiście dostępu (...)"
Kończąc: aby art. 267 par. 1 kk miał zastosowanie muszą jednocześnie
być spełnione dwie przesłanki: zapoznanie się z informacją oraz
przełamanie zabezpieczenia. Nie było przełamania, nie ma sprawy.
Kto jak kto, ale Ty doskonale powinieneś wiedzieć, jaki był techniczny
aspekt tego przypadku. W tym kontekście Twoja pro-homenet'owa wypowiedź
( "[...] mamy do czynienia z próbą przełamania [...]" ) budzi co
najmniej
niesmak. Co innego gdybyś się ograniczył tylko do oceny maila hack.pl do
homenet'u. Był nieszczęśliwy - bez dwóch zdań.
M.
P.S.
Nie mam żadnego związku z home.pl, hack.pl, hacking.pl. Wypowiedź jest
moją opinią prywatną i nie reprezentuje stanowiska mojego pracodawcy.
--
Mirosław "Psyborg" Jaworski
GCS/IT d- s+:+ a C++$ UBI++++$ P+++$ L- E--- W++(+++)$ N++ o+ K- w-- O-
M- V- PS+ PE++ Y+ PGP t 5? X+ R++ !tv b++(+++) DI++ D+ G e* h++ r+++ y?
"Despite the high cost of living, it remains popular."
Bartosz 'bart' Nowakowski
> Nie mogę tego widzieć w żaden inny sposób, jak tylko cyniczna i
> przemyślana, zapewne nie pierwsza, próba wymuszenia absurdalnie wysokich
> korzyści finansowych za utajenie faktów. (...)
A jako bonus w Polskę poszło, że to hackerzy byli :/
Bartosz Feński aka fEnIo
>>> Jakie jest home to każdy wie
>>
>> A jakie?
>
> Duże. Od pewnego czasu prawie kompletny brak reakcji na zgłaszany do
> nich spam to mój zarzut a jeszcze się trochę znajdzie od innych.
Znaczy kiedyś na zgłoszenia dotyczące spamu odpowiadali?
pozdr,
fEnIo
--
,''`. Bartosz Fenski | mailto:fe...@debian.org | pgp:0x13fefc40 | irc:fEnIo
: :' : 32-050 Skawina - Glowackiego 3/15 - malopolskie v. - Poland
`. `' phone:+48602383548 | proud Debian maintainer and user
`- http://skawina.eu.org | jid:fe...@jabber.org | rlu:172001
Michal Zalewski
> "... przeszkoda zabezpieczająca mienie nie powinna mieć charakteru
> symbolicznego lecz powinna być przeszkodą realną, broniącą rzeczywiście
> dostępu (...)"
Odnosiłem się tutaj do testowania zabezpieczeń cudzych witryn WWW jako
takiego, bez rozpatrywania, jak sąd zinterpretuje konkretną aktywność, bo
tego po prostu nie wiem, niezależnie od tego, ile ustaw przejrzę. Nie jest
dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
symbolicznym, od jakiego - nietrywialnym; albo czy do różnych części URI
należy stosować inne reguły (czyli czy np. '/stats' jest równoważne
'/login?user=admin&pass=admin').
Pisałem o tym jeno po to, by zaznaczyć, że szeroko rozumiane praktyki tego
typu są ryzykowne, zwykle jest pargraf, który pozwala *przynajnniej* na
rozpoczęcie postępowania, i że atakujący jest w związku z tym na łasce
atakowanego, który może, ale nie musi, grać przyzwoicie - więc w interesie
testera jest wykazanie się dobrą wolą, a i tak musi on się liczyć z
ryzykiem.
Jeśli chodzi o osobisty stosunek do tego typu spraw - w życiu nie
przyszłoby mi do głowy ścigać ludzi, którzy coś tam sobie z ciekawości
dłubią, i nie uważam tego za coś szczególnie złego.
> Kto jak kto, ale Ty doskonale powinieneś wiedzieć, jaki był techniczny
> aspekt tego przypadku. W tym kontekście Twoja pro-homenet'owa wypowiedź
> ( "[...] mamy do czynienia z próbą przełamania [...]" )
Wypowiedź w dalszej części była pro-homenetowa, ale w tym akurat
fragmencie, jeszcze do tego nie doszła ;-) Po prostu chciałem wyjaśnić,
czemu dla mnie kwestia intencji jest tu tak ważna.
/mz
vov...@gmail.com
> Odnosiłem się tutaj do testowania zabezpieczeń cudzych witryn WWW jako
> takiego, bez rozpatrywania, jak sąd zinterpretuje konkretną aktywność, bo
> tego po prostu nie wiem, niezależnie od tego, ile ustaw przejrzę. Nie jest
> dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
> symbolicznym, od jakiego - nietrywialnym; albo czy do różnych części URI
> należy stosować inne reguły (czyli czy np. '/stats' jest równoważne
> '/login?user=admin&pass=admin').
Pozwolę sobie zacytować wypowiedź rafian'a z forum hack.pl:
<cytat>
Witam.
Jestem klientem home.pl od wielu lat jak założyłem u nich konto
wszedłem sobie na swoją stronę z logami, stwierdziłem, że takie
informacje nie powinny być jawne i zabezpieczyłem ten katalog hasłem,
czynność zajęła o.k 1min.
</cytat>
Oraz Kwadrata
<cytat>
Najśmieszniejsze jest to że ja osobiście jakiś rok temu pisałem o tej
sprawie do home.pl :] Oficjalnie wysłałem pismo na ad...@home.pl bo
sam MIAŁEM tam konto i zaniepokoiła mnie ta sytuacja Nawet sobie
zrobiłem generator linków :P Żeby sprawdzić czy faktycznie to się
sprawdza, bo aż nie mogłem uwierzyć :]
Na co dostałem odpowiedz od administatorów, żebym sobie zabezpieczył
konto/katalog i nie zawracał im gitary ;]
</cytat>
IMHO problemem adminow poszczegolnych kont na home.pl jest
niezakładanie hasła na statystyki.
To że nie jest to zrobione by default przy zakładaniu konta można
traktować jako niedopatrzenie, to że nie było jawnej instrukcji dla
klienta żeby sobie takie hasło założył niedopatrzeniem większym. Ale
nie traktowałbym tego jako dziury.
pozdrawiam,
Vladimir
wer
> Jan Strybyszewski napisał(a):
>> Ciekawostka
>>
>> Jacys szantazyscii groza ujawnieniem "materiałów" w tym portalu MEN
>> na serwerach firmy home.pl
>> Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
>> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
>> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu
>> nie zagraza serwisom www i ich tresci [jak twierdzi home.pl]
> przyznają publicznie, że dali ciała.
>
Wiesz, łatwo można się włamać do twojego domu, jeśli mi zapłacisz 5000
zł to nie rozwieszę w twojej okolicy ogłoszeń z tym jak to zrobić. To
jest oferta dobrej woli.
wer
spit
futszaK
On Sun, 08 Apr 2007 03:27:53 -0700, vovcia wrote:
> IMHO problemem adminow poszczegolnych kont na home.pl jest
> niezakładanie hasła na statystyki.
> To że nie jest to zrobione by default przy zakładaniu konta można
> traktować jako niedopatrzenie, to że nie było jawnej instrukcji dla
> klienta żeby sobie takie hasło założył niedopatrzeniem większym. Ale
> nie traktowałbym tego jako dziury.
To czy coś nazwiemy dziurą czy nie to już jest kwestia nazwenictwa, z
praktycznego punktu widzenia w Sieć poszła jednak informacja że jakaś
dziura jednak byla w home.pl co może w jakiś (minimalny) sposób się odbić
na sprzedaży usług home.pl, aczkolwiek pewnie za jakiś czas wszyscy o
sprawie zapomną, niesmak jednak pozostanie bo można było zmodyfikować
skrypt kreujący katalogi domowe szkodników i by problemu nie było
jeśli zaś chodzi o MEN to pewnie wyszły po raz nie pierwszy i nie ostatni
oszczędności jakie się robi na polskiej nauce.
Efektów jest więcej - ponad milion młodych ludzi, z reguły po studiach
pojechała za granice pracować,bo studia nie przygotowały ich do życie
w polskich realiach gospodarczych.
Sorki że się na koniec off-topicznie rozpisałem
crazy bejbi
> jeśli zaś chodzi o MEN to pewnie wyszły po raz nie pierwszy i nie ostatni
> oszczędności jakie się robi na polskiej nauce.
Nie bardzo rozumiem (w zasadzie wcale) Twoją wypowiedź. Możesz
powiedzieć na jakiej podstawie sądzisz, że MEN zrobiło oszczędności na
stronie www i przez to ktoś na podstawie logów dostał dostęp do
zarzadzania ich stronę ?
Bo ja chyba nie wiem o czymś o czym wiesz Ty ?
No chyba, że zawsze masz odpowiedź na wszystko mówiącą, że jak sobie nie
dali zarobić, to jest złe ?
> Efektów jest więcej - ponad milion młodych ludzi, z reguły po studiach
> pojechała za granice pracować,bo studia nie przygotowały ich do życie
> w polskich realiach gospodarczych.
co ma do tego strona MAN (dobra, zła, technicznie poprawna lub nie,
zrobiona oszczędnie lub nie)?
Wojtek
futszaK
> futszaK napisał(a):
>
>> jeśli zaś chodzi o MEN to pewnie wyszły po raz nie pierwszy i nie ostatni
>> oszczędności jakie się robi na polskiej nauce.
>
> Nie bardzo rozumiem (w zasadzie wcale) Twoją wypowiedź.
państwo oszczędza na edukacji, edukacja oszczędza na adminach strony, wiec
ci co się tym zajmują albo zajmują się zbyt dużą ilością zajęć naraz i
zabiedbują sprawy zabezpieczeń, albo są słabi i nie zabezpieczają w sposób
należyty prowadzonych serwisów
> No chyba, że zawsze masz odpowiedź na wszystko mówiącą, że jak sobie nie
> dali zarobić, to jest złe ?
to nie jest "zawsze na wszystko odpowiedź" ale szczera prawda :(
>> Efektów jest więcej - ponad milion młodych ludzi, z reguły po studiach
>> pojechała za granice pracować,bo studia nie przygotowały ich do życie
>> w polskich realiach gospodarczych.
> co ma do tego strona MAN (dobra, zła, technicznie poprawna lub nie,
> zrobiona oszczędnie lub nie)?
to była tak zwana bardziej ogólna rozkmina na temat smutnej sytuacji w
polskiej edukacji :(
crazy bejbi
> państwo oszczędza na edukacji, edukacja oszczędza na adminach strony, wiec
> ci co się tym zajmują albo zajmują się zbyt dużą ilością zajęć naraz i
> zabiedbują sprawy zabezpieczeń, albo są słabi i nie zabezpieczają w sposób
> należyty prowadzonych serwisów
powiem tak:
ostatnio miałem zlecenie na zainstalowanie jestemu
antyspamowego/antywirusowego na serwerze pewnego starostwa powiatowego.
Mają polpaka. Mój admin zainstalował, a przy okazji komenda: apt-get
upgrade dała odpowiedź, że brakuje ok 300MB poprawek.
Ponadto odkryliśmy rootkita, który działał i siedzał tam od ok 2 lat.
Główny informatyk jak dostał raport o tym i pytanie co mamy robić
wzruszył ramionami i powiedział, że przecież wszystko do tej pory
działało i było ok.
To może niech lepiej wykupią sobie hosting na home czy gdziekolwiek
indziej. Nawet jakby był problem jak teraz z home, to jednak nie jest to
to samo co lewe procesy na ich serwerze, z którymi nie zamierzają nic
robić ...
Nie wiem, kto robił stronę MEN, ale jednak często robią to firmy
zewnętrzne, a nie lokalni "Administratorzy", szczególnie, jak mamy do
czynienia z cms-em (no, chyba, ze ktoś zainstluje joolme), ale pisanie
własnego, to chyba jednak przerasta człowieka, który się zajmuje przy
okazji innych obowiązków stroną www ...
Szczególnie, że teraz NIE BYŁ PROBLEM w złamaniu zabezpieczeń TEGO cms,
ale dostanie się do cms przez błąd zabezpieczeń w home - zresztą szybko
i sprawnie usunięty (po aktualnym upublicznieniu - nie wnikając czy
wiedzeli o tym wcześniej). Czyli to, że strona MEN stoi na home to
raczej zaleta a nie wada. Nie sądzę, że w przypadku postawienia strony
MEN na własnym serwerze problem byłby usunięty tak szybko (patrz powyżej).
>>> Efektów jest więcej - ponad milion młodych ludzi, z reguły po studiach
>>> pojechała za granice pracować,bo studia nie przygotowały ich do życie
>>> w polskich realiach gospodarczych.
>> co ma do tego strona MAN (dobra, zła, technicznie poprawna lub nie,
>> zrobiona oszczędnie lub nie)?
>
> to była tak zwana bardziej ogólna rozkmina na temat smutnej sytuacji w
> polskiej edukacji :(
nadal nie rozumiem związku :)
generalnie wszystkiemu są winni cykliści ?
Wojtek
Michał '2M1R' Różański
napisał(a):
>
> A jako bonus w Polskę poszło, że to hackerzy byli :/
>
Tak to juz jest jak "plebejskie" media weżną się za sprawe o której nie
mają pojęcia i do tego ten komentarz pod koniec materału w TVP-owkich
"Wiadomościach" koszmar nie długo powiedzą że Stallman to zbir bo tez jest
hackerem a do tego komunistą bo był inicjatorem ruchu free software ;)
--
2M1R
vov...@gmail.com
> Szczególnie, że teraz NIE BYŁ PROBLEM w złamaniu zabezpieczeń TEGO cms,
SSIDa w URLu i niestosowanie nawet trywialnych coockies ani
autoryzacji apache jest EWIDENTNYM problemem w zabezpieczeniu TEGO
cms.
pozdrawiam,
Vladimir
Krzysztof Halasa
> Pisałem o tym jeno po to, by zaznaczyć, że szeroko rozumiane praktyki tego
> typu są ryzykowne, zwykle jest pargraf, który pozwala *przynajnniej* na
> rozpoczęcie postępowania, i że atakujący jest w związku z tym na łasce
> atakowanego, który może, ale nie musi, grać przyzwoicie - więc w interesie
> testera jest wykazanie się dobrą wolą, a i tak musi on się liczyć z
> ryzykiem.
Powiedzmy sobie szczerze - mozliwe scenariusze sa takie:
a) ktos wie co robi i nie chce sie ujawnic, jesli tylko nie rusza
instalacji np. odpalajacych rakiety ani nie ukradl $1G
z najwiekszego banku to paragrafy moga mu skoczyc.
b) ktos wie co robi i ujawnia sie - paragrafy tez mu nic nie zrobia,
bo najdalej moze sprawa zakonczyc sie na umorzeniu z braku
dowodow, na skutek wyparcia sie wszystkiego przez ta osobe.
c) ktos nie wie co robi, ale chyba jasne jest ze za bledy mozna
zaplacic.
Nie wiem ktory to byl przypadek, przyznaje ze nie patrzylem w te
ich listy czy co to tam bylo.
--
Krzysztof Halasa
Tomasz Motyliński
W poście <ev59l9$e6l$1...@news.onet.pl>
Jan Strybyszewski <gdz...@op.pl> m.in. napisał(a)::
> Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu nie
> zagraza serwisom www i ich tresci [jak twierdzi home.pl]
Problem dotyczy większości serwerów i ma ścisły związek a macdonaldyzacją
życia (w tym także rynku IT), ale to temat na oddzielny wątek.
--
Tomasz Motyliński
Linux jest dla leniwych, raz zainstalowany działa wiecznie
... i do tego jaki ładny :) http://satfilm.net.pl/~motto77/mydesktop.jpg
http://debian.linux.pl/ - Polskie Forum Użytkowników Debiana
wer
> Witam,
>
> W poście <ev59l9$e6l$1...@news.onet.pl>
> Jan Strybyszewski <gdz...@op.pl> m.in. napisał(a)::
>
>> Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
>> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
>> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu nie
>> zagraza serwisom www i ich tresci [jak twierdzi home.pl]
>
> Problem dotyczy większości serwerów i ma ścisły związek a macdonaldyzacją
> życia (w tym także rynku IT), ale to temat na oddzielny wątek.
>
Powyżej 1000 wirtualnych serwerów nie da się inaczej. Po prostu za duża
skala, żeby się bawić.
wer
Tomasz Motyliński
W poście <evbrsd$avr$1...@news.supermedia.pl>
wer <bo...@nano.pl> m.in. napisał(a)::
>>> Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
>>> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
>>> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu nie
>>> zagraza serwisom www i ich tresci [jak twierdzi home.pl]
>>
>> Problem dotyczy większości serwerów i ma ścisły związek a macdonaldyzacją
>> życia (w tym także rynku IT), ale to temat na oddzielny wątek.
>
> Powyżej 1000 wirtualnych serwerów nie da się inaczej. Po prostu za duża
> skala, żeby się bawić.
Mniej więcej, wszyscy chcą tanio a tani się nie da, jak chcesz mieć pewność,
że system będzie bezpieczny to zatrudnij admina daj mu stosowną kasę aby
siedział po nocach i szukał dziury w całym nawet jak wszystko działa.
Niestety sam doświadczyłem, że nie szanuje się w tym kraju adminów
pasjonatów, którzy każdą wolną chwilę poświęcają na "tunning" systemu.
Dlaczego? Bo tego nie widać z wierzchu "a skoro nie widać różnicy to po co
przepłacać"? I potem rodzą się takie kwiatki.
Robert Święcki
> Wiesz, łatwo można się włamać do twojego domu, jeśli mi zapłacisz 5000
> zł to nie rozwieszę w twojej okolicy ogłoszeń z tym jak to zrobić. To
> jest oferta dobrej woli.
Można też tak...
Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
(powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
gadu-gadu etc.).
Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.
Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
szantaż czy wolny dostęp do informacji? :)
--
Robert Swiecki - http://www.swiecki.net
NEVER EVER mess with a PCB jumper you don't understand, even if it's
labelled "SEX AND FREE BEER" (C)1992 Dave Haynie - Amiga developer
Maciej Jan Broniarz
> wer wrote:
>
> > Wiesz, łatwo można się włamać do twojego domu, jeśli mi zapłacisz 5000
> > zł to nie rozwieszę w twojej okolicy ogłoszeń z tym jak to zrobić. To
> > jest oferta dobrej woli.
>
> Można też tak...
>
> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
> gadu-gadu etc.).
>
> Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
> prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
> milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
> dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
> na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
> nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
> straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.
>
> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)
>
Moim zdaniem , najrozsadniejszym zachowaniem byloby napisac do
wlasciciela serwisu ze ma buga , opisac gdzie , co i jak. Mozna ew.
zasugerowac delikatnie wlascicielowi serwisu ze moglby okazac
wdziecznosc. Zwlaszcza , ze od kiedy Fenicjanie wynalezli pieniadz
okazywanie wdziecznosci nie jest trudne :)
Oczywiscie, mozna napisac - przelej 1000000 zl na moje konto to powiem
gdzie masz buga. Ale wtedy to jest zwyczajny szantaz a nie hackerska
batalia o bezpieczenstwo i wolnosc. Takich delikwentow nalezy tepic,
zeby nie znajdywali nasladowcow. Home.pl mozna przebolec, ale jak
jakis bystry inaczej wlamie sie do komputera w szpitalu i zacznie
szantazowac wladze owego szpitala to juz moze byc mniej wesolo
gausus
--
[ -----< Maciej Jan Broniarz || gau...@gausus.net >------ ]
| Siamo qui \ sotto la stessa luce \ sotto la sua croce \ |
| cantando ad una voce \ E l'Emmanuel Emmanuel, Emmanuel, |
[ ---------------< E l'Emmanuel, Emmanuel >-------------- ]
Robert Święcki
> Oczywiscie, mozna napisac - przelej 1000000 zl na moje konto to powiem
> gdzie masz buga. Ale wtedy to jest zwyczajny szantaz a nie hackerska
> batalia o bezpieczenstwo i wolnosc. Takich delikwentow nalezy tepic,
> zeby nie znajdywali nasladowcow. Home.pl mozna przebolec, ale jak
> jakis bystry inaczej wlamie sie do komputera w szpitalu i zacznie
> szantazowac wladze owego szpitala to juz moze byc mniej wesolo
Nie wiem jakie moga być konsekwencje prawne ujawnienia informacji,
której wykorzystanie może wiązać się ze złamaniem prawa.
Chciałbym zauważyć jednak mały paradoks. Mniejsze nieszczęście
(zarządanie i zapłacenie szantażyście kwoty x za informację o bugu) może
być (i zapewne jest) nielegalne, zaś upublicznienie tej informacji (i
narażenie na straty, powiedzmy, rzędu np. 100x) już przestępstwem
"raczej" nie jest. Nie można ograniczyć rozmiarów "katastrofy", bo
przeszkadzają ograniczenia prawne, nawet jeżeli ekonomicznie szantaż
bardziej by się szantażowanemu opłacił.
Nie do końca rozumiem także argument, by nie płacić, bo to zniechęci
innych do szantażu. Skoro zniechęci do szantażu, to zachęci do
ujawnienia. Takietam akademickie rozważania ;)
Tak, btw., przypadek home.pl nie ma raczej związku z powyższymi
dywagacjami jako, że bug był taki-sobie.
Maciej Jan Broniarz
>
> > Oczywiscie, mozna napisac - przelej 1000000 zl na moje konto to powiem
> > gdzie masz buga. Ale wtedy to jest zwyczajny szantaz a nie hackerska
> > batalia o bezpieczenstwo i wolnosc. Takich delikwentow nalezy tepic,
> > zeby nie znajdywali nasladowcow. Home.pl mozna przebolec, ale jak
> > jakis bystry inaczej wlamie sie do komputera w szpitalu i zacznie
> > szantazowac wladze owego szpitala to juz moze byc mniej wesolo
>
> Nie wiem jakie moga być konsekwencje prawne ujawnienia informacji,
> której wykorzystanie może wiązać się ze złamaniem prawa.
>
> Chciałbym zauważyć jednak mały paradoks. Mniejsze nieszczęście
> (zarządanie i zapłacenie szantażyście kwoty x za informację o bugu) może
> być (i zapewne jest) nielegalne, zaś upublicznienie tej informacji (i
> narażenie na straty, powiedzmy, rzędu np. 100x) już przestępstwem
> "raczej" nie jest. Nie można ograniczyć rozmiarów "katastrofy", bo
> przeszkadzają ograniczenia prawne, nawet jeżeli ekonomicznie szantaż
> bardziej by się szantażowanemu opłacił.
>
> Nie do końca rozumiem także argument, by nie płacić, bo to zniechęci
> innych do szantażu. Skoro zniechęci do szantażu, to zachęci do
> ujawnienia. Takietam akademickie rozważania ;)
>
> Tak, btw., przypadek home.pl nie ma raczej związku z powyższymi
> dywagacjami jako, że bug był taki-sobie.
>
A czyja perspektywe przyjmujemy za obowiazujaca ? Klienta, ktory moze
niezasluzenie miec klopoty czy dostawcy uslug, ktory cos olewa ?
Robert Święcki
> A czyja perspektywe przyjmujemy za obowiazujaca ? Klienta, ktory moze
> niezasluzenie miec klopoty czy dostawcy uslug, ktory cos olewa ?
taką, w której kłopoty klienta są kłopotami dostawcy :)
Robert Święcki
> Chciałbym zauważyć jednak mały paradoks. Mniejsze nieszczęście
> (zarządanie i zapłacenie szantażyście kwoty x za informację o bugu) może
> być (i zapewne jest) nielegalne, zaś upublicznienie tej informacji (i
> narażenie na straty, powiedzmy, rzędu np. 100x) już przestępstwem
> "raczej" nie jest. Nie można ograniczyć rozmiarów "katastrofy", bo
> przeszkadzają ograniczenia prawne, nawet jeżeli ekonomicznie szantaż
> bardziej by się szantażowanemu opłacił.
dyskusja bardzo w temacie tutaj:
http://prawo.vagla.pl/node/7149
http://forum.poradniaprawna.forall.pl/viewtopic.php?t=147
Maciej Jan Broniarz
>
> > A czyja perspektywe przyjmujemy za obowiazujaca ? Klienta, ktory moze
> > niezasluzenie miec klopoty czy dostawcy uslug, ktory cos olewa ?
>
> taką, w której kłopoty klienta są kłopotami dostawcy :)
:)
Ale klient placi dostawcy za najwyzsza jakosc uslug, wiec dostawaca
moglby sie wywiazac z umowy ;)
wer
>
> Nie do końca rozumiem także argument, by nie płacić, bo to zniechęci
> innych do szantażu. Skoro zniechęci do szantażu, to zachęci do
> ujawnienia. Takietam akademickie rozważania ;)
Tylko jak rzucą się hordy script kiddies licząc na 200 tys. od serwisu
za milczenie, to naprawdę zmieniam zawód na spokojniejszy. Może wyjadę
do Koniakowa i zacznę robić koronki? Podobno jest niezły zbyt na to.
wer
Jan Strybyszewski
> On Sat, 2007-04-07 at 16:53 +0200, Michal Zalewski wrote:
>> W tym przypadku, sytuacja jest o tyle śliska, że mamy do czynienia z próbą
>> przełamania zabezpieczeń serwisu WWW bez wiedzy i zgody jego operatora.
>
> Nie było próby przełamania zabezpieczeń, bo takowych nie było.
> Art. 267 k.k. nie ma zastosowania.
Do statystyk home.pl nie, ale CRM MENu to jednak co innego.
Daniel
> Mniej więcej, wszyscy chcą tanio a tani się nie da, jak chcesz mieć pewność,
> że system będzie bezpieczny to zatrudnij admina daj mu stosowną kasę aby
> siedział po nocach i szukał dziury w całym nawet jak wszystko działa.
> Niestety sam doświadczyłem, że nie szanuje się w tym kraju adminów
> pasjonatów, którzy każdą wolną chwilę poświęcają na "tunning" systemu.
> Dlaczego? Bo tego nie widać z wierzchu "a skoro nie widać różnicy to po co
> przepłacać"? I potem rodzą się takie kwiatki.
>
Nie sądze, ze admini home.pl zarabiaja malo ale jak wiadomo jest ich
stosunkowo malo biorac pod uwage ilosc maszyn na glowie. Problem nie
lezy IMO po stronie admina, ale po stronie projektanta i tworcy danego
systemu. Z drugiej strony dobry admin sam sprawdza zabezpieczenia i
wiedzac o tej "luce" mogl powiadomic tworcow o problemie.
Odnosnie niedoceniania adminow pasjonatow to poki co niestety, ale musze
sie zgodzic - zarabiaja marne grosze.
Pozdrawiam
Daniel
wer
Rynek jest jaki jest. Ceny zjechały w dół dzięki wanna be provider.
Hosting na SDI za 10 zł rocznie. Dopiero od niedawna ludzie zaczęli
dostrzegać, ze serwer w piwnicy u siostrzeńca to nie jest najlepsze
rozwiązanie biznesowe. Mamy jedne z najniższych cen na hosting w Europie
przy wyższych cenach łączy. Zresztą na całym świecie te ceny idą w dół
cały czas. Niestety nie da się za te pieniądze bawić się, w siedzenie i
tuningowanie serwerów. Trzeba robić nowe projekty, łatać awarie. Minął
czas hobbystów i grzebaczy, teraz liczy się przerób. Kto się bawi
wylatuje z rynku. Tak samo jest z oprogramowaniem, wychodzą dziurawe
wersje, które się kiedys poprawi. Każdy się spieszy. Marketing obchodzi,
kiedy będzie działać usługa, a nie czy jest bezpieczna. Takie czasy.
wer
--
wer
nie odpisuj na adres bo...@nano.pl
wlasciwy adres arx...@o2.pl
Jestem przeciwnikiem kary smierci, ale dla przykladu powinno sie
powiesic 100 spamerow w miejscach publicznych.
Marek Skrobacki
> Ciekawostka
>
> Jacys szantazyscii groza ujawnieniem "materiałów" w tym portalu MEN na
> serwerach firmy home.pl
> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu nie
> zagraza serwisom www i ich tresci [jak twierdzi home.pl]
>
tak w ramach ciekawostki ;-)
skrobul@work:~$ host hack.pl
hack.pl has address 89.161.184.235
skrobul@work:~$ whois 89.161.184.235 | grep -i netname
netname: HOMEPL
skrobul@work:~$
;-)
--
*-[ Marek Skrobacki ]-----------------[ skrobul (at) skrobul.com ]--*
*-[ jabber:skr...@terefere.pl gg:531914 ]------[ www.skrobul.com]--*
Tomasz Śląski
> Trzeba robić nowe projekty, łatać awarie. Minął czas hobbystów i
> grzebaczy, teraz liczy się przerób. Kto się bawi wylatuje z rynku. Tak
> samo jest z oprogramowaniem, wychodzą dziurawe wersje, które się kiedys
> poprawi. Każdy się spieszy. Marketing obchodzi, kiedy będzie działać
> usługa, a nie czy jest bezpieczna. Takie czasy.
100000% racji - niestety jogurt rządzi, nie technika.
--
TOM TS635-RIPE
Załoga górki rozrządowej szerokie ma perspektywy,
bez nich nie działa żadna kolej, bezsilne są lokomotywy.
jaSS
> Daniel <dan...@delete.poczta.fm> wrote:
>
>> Nie sądze, ze admini home.pl zarabiaja malo ale jak wiadomo jest ich
>> stosunkowo malo biorac pod uwage ilosc maszyn na glowie. Problem nie
>
> Tzn. ile maja tych maszyn na glowe?
> 20?
> 50?
> Wiekszosc maszyn przycieta wedlug tego samego (lub podobnego) wzorca, wiec
> wyznacznikiem czego ma byc w tym wypadku ilosc systemow jakimi sie zajmuja?
Z tego co piszą na stronie to maszyn maja 250 ale wszystkie są
identyczne co do konfiguracji, wzorzec systemu jest pobierany z
centralnego serwera. Wiec praktycznie jet o jeden i ten sam system.
Tomasz Piłat
> Można też tak...
>
> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
> gadu-gadu etc.).
Zestawianie NSA z GG jest bezsensem w najczystszej formie.
Ale ja nie o tym chciałem...
> Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
> prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
> milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
> dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
> na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
> nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
> straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.
Odkąd pamietam jestem fanem filozofii "full disclosure" - myślę, że nie
ma lepszej metody uświadomienia "czynnikom decyzyjnym" i "czynnikom
wytwórczym", że tworzenie dobrego oprogramowania naprawdę się opłaca
i że warto poświęcić czasami doraźne "oszczędnostki", a za to dostać/stworzyć
porządny produkt, który w dalszej perspektywie zabezpieczy przed koniecznością
płacenia szantażystom, wypłacania odszkodowań i becelowania za poprawianie czegoś,
za co już raz zapłacono i miało być dobre...
Co do home.pl - wiem z "pierwszej ręki" (ze źródeł naprawdę
pierwszoligowych, którym chłopcy z hack.pl mogliby najwyżej sznurówki
ssać), że ta podatność była już dawno zgłaszana, tylko personel
homenetu jakoś nie znalazł wyobraźni, żeby się tym przejąć i zrzucał
odpowiedzialność na klientów. Nie sądzę, aby home.pl ponióśł w związku
z tym specjalne straty, ale mam nadzieję, że chociaż jakieś wnioski
wyciągneli - co się opłaci i tej firmie i jej klientom.
Daleki jestem od alarmistycznego tonu wypowiedzi - skompromitowanej skądinąd
- ekipy dyletantów i cwaniaczków z hack.pl, jednak z drugiej strony wiem,
że dane pozyskane z logów (i ich długotrwałej obserwacji) mogą czasami
ułatwić różnego rodzaju ataki socjotechniczne (i nie tylko zresztą).
I nawet jeśli home.pl (czy inny operator/dostawca) uważa tego typu
zagrożenia za mało realne, to jednak powinni mieć świadomość ich istnienia.
W końcu jednak nikt z nas nie wygrał 6 w totka, a jednak wygrane wciąż
padają... ;-)
> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)
Wolność jest warta każdej ceny. Na szczęście nie jestem odpowiedzialny
przed żadnymi akcjonariuszami... :~)
Ponc
--
Kto misiowi urwał ucho?
futszaK
> Odkąd pamietam jestem fanem filozofii "full disclosure" - myślę, że nie
> ma lepszej metody uświadomienia "czynnikom decyzyjnym" i "czynnikom
> wytwórczym", że tworzenie dobrego oprogramowania naprawdę się opłaca
> i że warto poświęcić czasami doraźne "oszczędnostki", a za to dostać/stworzyć
> porządny produkt, który w dalszej perspektywie zabezpieczy przed koniecznością
> płacenia szantażystom, wypłacania odszkodowań i becelowania za poprawianie czegoś,
> za co już raz zapłacono i miało być dobre...
ziemia do ponckiego, słyszycie nas ???
wszyscy jesteśmy zwolennikami takiego podejścia, ale trzeba być albo
bardzo wybitnym specjalistom żeby nas było stać na realizowanie jego w
praktyce, albo pakujemy sie w segment ekskluzywnych (czytaj bardzo
drogich) usług dla bardzo wąskiego grona odbiorców którzy DOKŁADNIE WIEDZĄ
co kupują, aczkolwiek nikt nie gwarantuje że również oni nie zachorują na
chorobe o nazwie "cięcie kosztów"
> Co do home.pl - wiem z "pierwszej ręki" (ze źródeł naprawdę
> pierwszoligowych, którym chłopcy z hack.pl mogliby najwyżej sznurówki
> ssać), że ta podatność była już dawno zgłaszana, tylko personel
> homenetu jakoś nie znalazł wyobraźni, żeby się tym przejąć i zrzucał
> odpowiedzialność na klientów.
wystarczyło poczytać w/w wątek bo było w nim o zgłoszeniach i
szablonowych odpowiedziach na zgłoszenia w/w problemu
to że hołmnet ma polityke zwalania odpowiedzialności na klientów to my
wiemy, swego czasu nie mogłem się z nimi dogadać w kwestii walki ze spamem
i też dostawałem odpowiedzi w stylu "zrób sobie pan czarną i białą liste
nadawców i nie zawracaj nam głowy" więc koniec końców zdecydowałem nie
przedłużać z nimi umowy na konto bo konto pocztowe dla konta pocztowego to
ja sobie moge postawić sam gdziekolwiek (na którymś z obsługiwanych
serverów posiadających publiczny adres IP) nie płacąc za to grosza,zaś
od płatnego serwisu oczekuje czegoś więcej.
--
futszaK
0601061867
Odkad Fenicjanie wymyslili pieniadze,okazywanie
wdziecznosci stalo sie stosunkowo proste
Michal Zalewski
> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> [...]
>
> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)
Na 99% osoba stawiajaca firme przed taka alternatywa za pare godzin
mialaby gosci i spedzilaby najblizsze 4 lata w Guantanamo, czekajac na
proces ;-)
/mz
Maciej Jan Broniarz
Linia podzialu jest dosyc wyrazna. Jezeli, ktos zglasza blad tak po prostu
to jest ok. Jezeli juz na starcie chce za to pieniadze to nalezy go
spacyfikowac.
Nie wiem czy bym zaryzykowal dawanie kasy w ciemno. Kazdy moze
powiedziec ze zna dziure w serwerze danej firmy.
Spotkalem sie tez pare razy ze zjawiskiem, ze gdy zglasza sie
firmie/agencji rzadowej blad na ich serwerach to za jakis czas dzwoni
mily pan i proponuje prace/wspolprace/zlecenie .
Reasumujac, ludzie z hack.pl chcieli sie dorobic na szybko i tyle :)
A ze nie ma drogi na skroty to miejsca , do ktorego warto dojsc......
;)
gausus
PS: ciekawe, ze prekursorem medialnego trabienia o domniemanych
bledach jest wlasnie hacking.pl ;)
Michal Zalewski
> PS: ciekawe, ze prekursorem medialnego trabienia o domniemanych bledach
> jest wlasnie hacking.pl ;)
Hacking.pl wielokrotnie dawal do zrozumienia, ze bardziej im zalezy na
dogryzaniu kolegom, niz na utrzymaniu jakiegokolwiek chocby
polprofesjonalnego poziomu redakcyjnego - case in point:
...niestety chyba wszystkie "wortale" z "hack" w nazwie prezentuja u nas
podobny poziom - promimentnie zaprezentowany aktualny pagerank,
super-krytyczne XSSy na stronie Orange i Allegro, i uszczypliwe artykuly o
znajomych ;-)
/mz
Maciej Jan Broniarz
Hacking.pl bazuje na wystepie Goriona w TVN. Ciekawe, natomiast, ze
wszystkie te watpliwej wartosci newsy o bledach, sa publikowane w
onet/tvn24 jako bardzo wazne newsy :)
gausus
Tomasz Motyliński
W poście <evfr7r$1gdn$1...@news2.ipartners.pl>
wer <bo...@nano.pl> m.in. napisał(a)::
> Niestety nie da się za te pieniądze bawić się, w siedzenie i
> tuningowanie serwerów. Trzeba robić nowe projekty, łatać awarie. Minął
> czas hobbystów i grzebaczy, teraz liczy się przerób.
Może to przejściowe? Pamiętasz jak ludzie zachłysnęli się marketami? Teraz
to mija i coraz więcej ludzi kupuje w sklepiku na osiedlu bo cena nie wiele
wyższa, jakość lepsza i zawsze świeże.
futszaK
> Hacking.pl bazuje na wystepie Goriona w TVN. Ciekawe, natomiast, ze
> wszystkie te watpliwej wartosci newsy o bledach, sa publikowane w
> onet/tvn24 jako bardzo wazne newsy :)
onet/tvn24 publikują to co chcą odbiorcy reklam zobaczyć, a widocznie
temat z gatunku Hacking.pl do tego typu treści należy
jogurtownia się kłania :>
futszaK
> To sa jeszcze tacy, ktorzy nie slyszeli o Michale? :) Jak bylem
> dzieckiem, to mi historie o lcamtufie opowiadali ;)
to strasznie młody musisz być :>
Mateusz Papiernik
> to strasznie młody musisz być :>
No cóż ;>
--
Mateusz Papiernik, Maticomp Webdesign
ma...@maticomp.net, http://www.maticomp.net
"One man can make a difference" - Wilton Knight
Krzysztof Halasa
> Może to przejściowe? Pamiętasz jak ludzie zachłysnęli się marketami? Teraz
> to mija i coraz więcej ludzi kupuje w sklepiku na osiedlu bo cena nie wiele
> wyższa, jakość lepsza i zawsze świeże.
Szkoda ze u mnie tak nie ma - w sklepiku towar z supermarketu
i z Makro, chyba nikt nie mysli ze dokladaja do interesu, jakosc
gorsza bo produkty tylko najtansze, i jedynie moge buleczki
pochwalic bo rzeczywiscie sa w porzadku (choc dosc drogie).
A z serwerami to kwestia potrzeb - 250 jednakowych maszyn to zupelnie
inna sprawa niz 15 zupelnie roznych.
--
Krzysztof Halasa
futszaK
> Hacking.pl wielokrotnie dawal do zrozumienia, ze bardziej im zalezy na
> dogryzaniu kolegom, niz na utrzymaniu jakiegokolwiek chocby
> polprofesjonalnego poziomu redakcyjnego - case in point:
może tam też jogurt rządzi i prowadzący postawili sobie za priorytet
rozgłos a nie profesjonalizm (bo to drugie jest trudniejsze do realizacji)
czy mówiąc bardziej dosadnie sprzedają kupe w kryształowym pucharku z
bitą śmietaną i ananasem :>
Grzegorz Niemirowski
> Hacking.pl bazuje na wystepie Goriona w TVN. Ciekawe, natomiast, ze
> wszystkie te watpliwej wartosci newsy o bledach, sa publikowane w
> onet/tvn24 jako bardzo wazne newsy :)
> gausus
Przykład z dzisiaj: http://www.onet.pl/03f-461c762a
Informację o tym, że być może zamiast SP3 dla XP będzie Rollup Update
kompletnie przekręcono i zrobiono z tego tragedię narodową. Ba, światową.
--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i aktualności ze świata Outlook Express: grzegorz.net/oe
Uptime: 5 days, 16 hours, 1 minutes and 35 seconds
Krzysztof Halasa
> Na 99% osoba stawiajaca firme przed taka alternatywa za pare godzin
> mialaby gosci i spedzilaby najblizsze 4 lata w Guantanamo, czekajac na
> proces ;-)
To psychoza, kreowana przez rzad i media. Aczkolwiek przyznaje
ze znam kilka osob mieszkajacych w USA, ktorzy nie maja ich
obywatelstwa, i boja sie by "za zle sprawowanie" nie zabrali im
wizy/zielonej karty albo nie ucieli glowy itp. "Zle sprawowanie"
to moze byc cos tak nieistotnego jak np. uzycie publicznie
dostepnych informacji o programowaniu rejestrow karty graficznej.
Znasz jakis przypadek takiej "wizyty" w bazie w Guantanamo?
Naturalnie osobna kwestia jest glupota niektorych dzialan
i kompletny brak pojecia o tym, co ktos jest w stanie np. sprawdzic
a czego sie sprawdzic nie da zadnym sposobem.
--
Krzysztof Halasa
Krzysztof Halasa
> Linia podzialu jest dosyc wyrazna. Jezeli, ktos zglasza blad tak po prostu
> to jest ok. Jezeli juz na starcie chce za to pieniadze to nalezy go
> spacyfikowac.
Twoja opinia a nie wyrazna linia podzialu. Szantaz to inna sprawa,
ale jesli ktos poswiecil czas na znalezienie jakiejs np. dziury,
i teraz chce ta prace sprzedac, to czym sie to rozni od dowolnej
innej pracy? Oprocz tego, ze stawka za godzine powinna byc wyzsza,
bo mniej ludzi potrafi tak pracowac niz np. sprzedawac w sklepie.
> Spotkalem sie tez pare razy ze zjawiskiem, ze gdy zglasza sie
> firmie/agencji rzadowej blad na ich serwerach to za jakis czas dzwoni
> mily pan i proponuje prace/wspolprace/zlecenie .
Spotkales sie czy raczej tak sobie wymysliles i ladnie wyglada?
Jakis konkret moze czy "scisle tajne"?
> Reasumujac, ludzie z hack.pl chcieli sie dorobic na szybko i tyle :)
Ile to tam chcieli, 200 kzl do negocjacji, tak? Negocjuje sie w dol.
Ilu ich tam bylo, powiedzmy ze 4. Po wynegocjowaniu 100 kzl to daje
po 25 kzl na glowe. To dopiero dorobek, w sam raz by kupic jakis
stary samochod :-(
--
Krzysztof Halasa
Krzysztof Halasa
> Hacking.pl bazuje na wystepie Goriona w TVN. Ciekawe, natomiast, ze
> wszystkie te watpliwej wartosci newsy o bledach, sa publikowane w
> onet/tvn24 jako bardzo wazne newsy :)
Widocznie poziomy sa zgodne. Co to ten Gorion to nie mam pojecia,
though.
--
Krzysztof Halasa
vov...@gmail.com
> "Maciej Jan Broniarz" <gau...@gausus.net> writes:
> Twoja opinia a nie wyrazna linia podzialu. Szantaz to inna sprawa,
> ale jesli ktos poswiecil czas na znalezienie jakiejs np. dziury,
> i teraz chce ta prace sprzedac, to czym sie to rozni od dowolnej
> innej pracy? Oprocz tego, ze stawka za godzine powinna byc wyzsza,
> bo mniej ludzi potrafi tak pracowac niz np. sprzedawac w sklepie.
Jeżeli będziesz miał spuszczone powietrze w kołach w aucie, a ja
przyjdę z pompką i napompuję, zostawiając kartkę na oknie "ja rozumiem
wszystko, możemy się dogadać, nie chcę być niegrzeczny ale jak mi nie
przelejsz 200tys. za to że Ci napompowałem koła to Ci powybijam szyby
w samochodzie", to jak się poczujesz i co zrobisz?
--
pozdrawiam,
Vladimir Mitiouchev
- "Black Hats nie mokną!"
Michal Zalewski
> Znasz jakis przypadek takiej "wizyty" w bazie w Guantanamo?
To był żart ;-) Aczkolowiek opisano wiele przypadków, gdy koncerny, które
szantażowano w sprawie wielkich kwot, albo którym oferowano nielegalne
korzyści na wielką skalę, zgłaszały się do FBI, zamiast wybierać między
opcjami oferowanymi przez zainteresowanego.
/mz
Michal Zalewski
> Twoja opinia a nie wyrazna linia podzialu. Szantaz to inna sprawa,
> ale jesli ktos poswiecil czas na znalezienie jakiejs np. dziury,
> i teraz chce ta prace sprzedac, to czym sie to rozni od dowolnej
> innej pracy? Oprocz tego, ze stawka za godzine powinna byc wyzsza,
Tym, że jest niezamówiona - podobnie jak "przymusowe" mycie szyb na
światłach. Ktoś może Ci zapłacić, ale ktoś inny ma takie same prawo się
wkurzyć i wezwać policję ;-)
/mz
Bartosz 'bart' Nowakowski
> Daniel <dan...@delete.poczta.fm> wrote:
>
>> Nie sądze, ze admini home.pl zarabiaja malo ale jak wiadomo jest ich
>> stosunkowo malo biorac pod uwage ilosc maszyn na glowie. Problem nie
>
> Tzn. ile maja tych maszyn na glowe?
> 20?
> 50?
> Wiekszosc maszyn przycieta wedlug tego samego (lub podobnego) wzorca, wiec
> wyznacznikiem czego ma byc w tym wypadku ilosc systemow jakimi sie zajmuja?
http://www.meetbsd.org/papers/meetbsd2006.jurczyk.pdf
--
Bartosz 'xbartx' Nowakowski
futszaK
> Tym, że jest niezamówiona - podobnie jak "przymusowe" mycie szyb na
> światłach. Ktoś może Ci zapłacić, ale ktoś inny ma takie same prawo się
> wkurzyć i wezwać policję ;-)
a co w takim wypadku policja zrobi ?
pytam poważnie bo o ile sporadycznie mi się zdarzają takie sytuacje
(mieszkam na zadupiu) o tyle jak już mi się trafiają to są bardzo
irytujące. jak zapłace to mam mniej pieniędzy, jak nie zapłace to się boje
że na następnym skrzyżowaniu ktoś mi wybije szybe w samochodzie :(
Krzysztof Halasa
> Tym się różni że pracę się zleca.
Myslisz kategoriami czlowieka na etacie w sklepie. W pewnym momencie
jest tak, ze jesli nie bedziesz mial swojej pracy juz zrobionej,
i nie bedziesz jej chcial aktywnie sprzedac, to nic z tego nie bedzie.
Niby jak wyobrazasz sobie "prace zlecona"?
"Znajde dziure w sofcie xxx", praca od poniedzialku do piatku
od 9 do 17?
> Jeżeli będziesz miał spuszczone powietrze w kołach w aucie, a ja
> przyjdę z pompką i napompuję, zostawiając kartkę na oknie "ja rozumiem
> wszystko, możemy się dogadać, nie chcę być niegrzeczny ale jak mi nie
> przelejsz 200tys. za to że Ci napompowałem koła to Ci powybijam szyby
> w samochodzie", to jak się poczujesz i co zrobisz?
Zrobie to co robi sie z glupimi wandalami.
Natomiast sytuacja z home byla, zdaje sie, zupelnie inna? Np. chyba
nikt nie grozil ze zrobi im krzywde?
--
Krzysztof Halasa
Krzysztof Halasa
> To był żart ;-) Aczkolowiek opisano wiele przypadków, gdy koncerny, które
> szantażowano w sprawie wielkich kwot, albo którym oferowano nielegalne
> korzyści na wielką skalę, zgłaszały się do FBI, zamiast wybierać między
> opcjami oferowanymi przez zainteresowanego.
To oczywiste, w koncu to jedna z opcji (oferowana domyslnie) :-)
Aczkolwiek dobrze byloby to rozpatrywac w swietle konkretnych
sytuacji.
--
Krzysztof Halasa
Krzysztof Halasa
> Tym, że jest niezamówiona - podobnie jak "przymusowe" mycie szyb na
> światłach.
Mi nikt szyb nie "myje" na swiatlach, przeciez mozna powiedziec
(pokazac) ze nic z tego nie bedzie i ida do kolejnego samochodu.
--
Krzysztof Halasa
Krzysztof Halasa
> pytam poważnie bo o ile sporadycznie mi się zdarzają takie sytuacje
> (mieszkam na zadupiu) o tyle jak już mi się trafiają to są bardzo
> irytujące. jak zapłace to mam mniej pieniędzy, jak nie zapłace to się boje
> że na następnym skrzyżowaniu ktoś mi wybije szybe w samochodzie :(
To tez psychoza - nigdy nie place, nigdy tez nie daje "odprowadzic
wozka" (z moneta) przed supermarketem, i zawsze na pytania o potrzebe
"przypilnowania samochodu" odpowiadam, ze swietnie sam sie pilnuje.
Myslisz ze w razie "watpliwosci" latwiej namierzyc takich "myjacych"
czy jakiegos faceta w jakims samochodzie?
--
Krzysztof Halasa
futszaK
>> Tym, że jest niezamówiona - podobnie jak "przymusowe" mycie szyb na
>> światłach.
> Mi nikt szyb nie "myje" na swiatlach, przeciez mozna powiedziec
> (pokazac) ze nic z tego nie bedzie i ida do kolejnego samochodu.
etam, ja sie spotkałem z myciem na siłe :(
RoMan Mandziejewicz
Wednesday, April 11, 2007, 1:35:06 PM, you wrote:
>> Hacking.pl bazuje na wystepie Goriona w TVN. Ciekawe, natomiast, ze
>> wszystkie te watpliwej wartosci newsy o bledach, sa publikowane w
>> onet/tvn24 jako bardzo wazne newsy :)
> Widocznie poziomy sa zgodne. Co to ten Gorion to nie mam pojecia,
Użyj gógle, Krzysiu...
> though.
Toruń przeprasza za Rydzyka, Opole za Goriona...
--
Best regards,
RoMan mailto:ro...@pik-net.pl
vov...@gmail.com
> Myslisz kategoriami czlowieka na etacie w sklepie. W pewnym momencie
> jest tak, ze jesli nie bedziesz mial swojej pracy juz zrobionej,
> i nie bedziesz jej chcial aktywnie sprzedac, to nic z tego nie bedzie.
"islamscy" terroryści "aktywnie" nawracają.
> Niby jak wyobrazasz sobie "prace zlecona"?
> "Znajde dziure w sofcie xxx", praca od poniedzialku do piatku
> od 9 do 17?
To się nazywa audytem i robi się na umowie-zleceniu. AFAIK.
> Natomiast sytuacja z home byla, zdaje sie, zupelnie inna? Np. chyba
> nikt nie grozil ze zrobi im krzywde?
No, opublikowanie krzykliwego i przesadzonego newsa na łamach hack.pl,
opowiadającego o MEGAHIPERKRYTYCZNYBUGPRZEJE... szargającego dobre
imię home.pl nie jest robieniem krzywdy. Wcale a wcale.
Wolałbym chyba po mordzie dostać.
pozdrawiam,
Vladimir Mitiouchev
Krzysztof Halasa
> etam, ja sie spotkałem z myciem na siłe :(
To jak to wygladalo? Pieniadze tez wyrywali "na sile"?
Przeciez to dla nich zaden biznes jesli wiedza ze ktos
nie zaplaci.
--
Krzysztof Halasa
RoMan Mandziejewicz
Wednesday, April 11, 2007, 2:44:13 PM, I wrote:
[...]
> Toruń przeprasza za Rydzyka, Opole za Goriona...
(C) ShaXbee (się upomniał, zgred jeden).
kravietz
and.spam.wireland.org> wrote:
> to co zrobilo home - to jest inna sprawa. natomiast przejscie do rzeczy
> w wyslanej korespondencji za pomoca gadki o "koszcie informacji"
> kojarzy sie po prostu zle, niezaleznie od prawdziwych intencji autora
> maila. kropka.
Ja zacytuje to co napisałem na securitystandard.pl. Jeśli ktoś gra
ostro to może mieć szansę na duży zarobek, ale musi się też liczyć z
równie ostrą odpowiedzią.
http://blog.securitystandard.pl/news/108745.html
Wczoraj wieczorem właściciel polskiej firmy hostingowej Home.pl
otrzymał nietypową propozycję - autorzy serwisu hack.pl napisali, że
wykryli w oprogramowaniu Home.pl poważną dziurę. Za szczegóły zażądali
200 tys. zł.
List był utrzymany w tonie delikatnej perswazji - z jednej strony
autorzy zastrzegali, że "piszą w celu informacyjnym" i że ich
"zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z
prawem". Z
drugiej strony sugerowali, że chcą opublikować na swojej stronie
informacje dziurze, co z pewnością wpłynęłoby na wizerunek Home.pl.
Autorom trzeba oddać sprawiedliwość, że informacje o dziurze chcieli
opublikować bez podawania szczegółów technicznych. W sumie mogli to
zrobić od razu, bez pytania o zgodę Home.pl - w końcu serwisy
"chakerskie" robią to cały czas. Całkowicie niedopuszczalne z ich
strony było jednak uzależnienie ujawnienia informacji o szczegółach
dziury od zapłacenia autorom 200 tys. zł. Jest to działanie, które
łatwo można
podciągnąć pod próbę wyłudzenia, co samo w sobie jest przestępstwem.
Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK), a taki
detal jak ustalenie czy doszło czy nie doszło do "przełamania
zabezpieczeń" wymaga oceny biegłego. Rozprawa może potrwać i dwa lata,
w czasie której podejrzanego czeka wiele nieprzyjemności (nawet
włącznie z aresztem), a na pewno zatrzymaniem "narzędzia przestępstwa"
czyli sprzętu komputerowego. Niech zatem za bezpieczeństwo swoich
serwerów odpowiadają ich właściciele.
Jeśli decydujemy się na zgłoszenie dziury to musi mieć ono taką
postać, by nie było najmniejszych wątpliwości co do intencji autora.
Jeśli jego intencją jest pomoc to należy umieścić w zgłoszeniu
wszystkie
informacje, które rzeczywiście mogą być pomocne administratorowi w
załataniu luki. Każda dwuznaczna sugestia, że "chcemy pomóc, ale
chcemy też zarobić" natychmiast kojarzy się z rosyjskim rekietierem z
lat
90-tych, który opowiadając o "drużbie narodow" mimochodem rozważał
łatwopalność budynku restauracji, do której przyszedł z ofertą.
Pokusa zmuszenia właściciela serwisu do skorzystania z naszych usług
może być bardzo silna - osoba, która znalazła dziurę dysponuje pewną
informacją, która może być wartościowa dla drugiej strony. Ale usługi
na
rynku bezpieczeństwa IT opierają się na zaufaniu. Nikt nie zaufa
szantażyście. Jeśli natomiast zgłoszenie dziury będzie utrzymane w
formie nie pozostawiającej wątpliwości co do przyjaznych intencji
zgłaszającego, to nic nie stoi na przeszkodzie żeby zaoferować swoje
usługi w którymś z kolejnych maili, już po wyjaśnieniu kwestii
związanych ze zgłaszanym problemem i najlepiej po załataniu dziury.
RoMan Mandziejewicz
Wednesday, April 11, 2007, 2:47:13 PM, you wrote:
[...]
> Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
> internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
> brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
> przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK),
Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
przełamaniu.
> a taki detal jak ustalenie czy doszło czy nie doszło do "przełamania
> zabezpieczeń" wymaga oceny biegłego.
Załóżmy przez chwilę, że żyjemy w państwie prawa i dopóki się nie
udowodni przestępstwa domniemamy jednak niewinność...
[...]
Krzysztof Halasa
> Masz dość specyficzne pojęcie "aktywnej sprzedaży". To tak jak
> "islamscy" terroryści "aktywnie" nawracają.
Chciales chyba napisac: islamscy "terrorysci"?
Znakomita wiekszosc ludzi na swiecie jest dobra, to tylko niektore
jednostki sa zle. Nie wierz politykom.
> To się nazywa audytem i robi się na umowie-zleceniu. AFAIK.
Audyt to jest zupelnie inna sprawa.
To tak jak z ogloszeniami - sa takie "kupie samochod", ale mozna
tez spotkac "sprzedam".
> No, opublikowanie krzykliwego i przesadzonego newsa na łamach hack.pl,
> opowiadającego o MEGAHIPERKRYTYCZNYBUGPRZEJE... szargającego dobre
> imię home.pl nie jest robieniem krzywdy. Wcale a wcale.
A jest? To sąd, znieslawienie itd. W czym problem?
A jesli to miala byc prawda, to wybacz, ale pisanie prawdy to nic
zlego. Nawet jesli sie to komus "duzemu" nie podoba.
> Wolałbym chyba po mordzie dostać.
Hmm...
--
Krzysztof Halasa
vov...@gmail.com
> Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
> przełamaniu.
> Załóżmy przez chwilę, że żyjemy w państwie prawa i dopóki się nie
> udowodni przestępstwa domniemamy jednak niewinność...
W takim założeniu chciałem zwrócić uwagę na coś innego.
Co za nierób odpowiada za bezpieczeństwo MEN? Kto dopuścił do
wpuszczenia TAKIEGO CMSa? Kto za to odpowiada i jakie poniesie
konsekwencje?
Panowie, MEN to instytucja która utrzymuje się z naszych podatków i
mamy pełne prawo do wglądu w jej funkcjonowanie. Niechże w tym
państwie ktoś w końcu poniesie konsekwencje!
pozdrawiam,
Vladimir Mitiouchev
vov...@gmail.com
> Chciales chyba napisac: islamscy "terrorysci"?
> A jesli to miala byc prawda, to wybacz, ale pisanie prawdy to nic
> zlego. Nawet jesli sie to komus "duzemu" nie podoba.
To nie jest prawda. W mojej opinii znaleziona "dziura" nie jest
dziurą. To problem posiadaczy kont że nie założyli sobie hasła na
katalog z logami choć jest to operacja która zajmuje 1 minutę.
pozdrawiam,
V.
kravietz
> > a taki detal jak ustalenie czy doszło czy nie doszło do "przełamania
> > zabezpieczeń" wymaga oceny biegłego.
>
> Załóżmy przez chwilę, że żyjemy w państwie prawa i dopóki się nie
> udowodni przestępstwa domniemamy jednak niewinność...
Jak napisałem powyżej, w Polsce proces "pozostawania w domniemaniu
niewinności" również może mieć charakter represji. Jak sam napisałeś -
"załóżmy", więc zdajesz sobie sprawę że rzeczywistość jest inna.
Mamy teraz dwie alternatywy - można przyjąć to za pewien aspekt
otaczającej nas rzeczywistości i tak postępować, żeby się nie
podkładać. Można się też podkładać, ale nawet przekonanie że masz
rację nie osłodzi utraty sprzętu na czas nieokreślony.
Z Fido powinieneś pamiętać casus (chyba) JXM-a, któremu pod zarzutem
piractwa zatrzymali całe wyposażenie firmy bo ktoś doniósł do nich że
piracą i trzy lata czekało ono "na biegłego". Jako że był to shareware-
house, więc zabranie wszystkich nośników i komputerów równało się
upadkowi firmy.
Hack.pl się ewidentnie podłożył i co do tego nie mam żadnych
wątpliwości. Być może zrobili to z naiwności, ale jak już pisałem -
kto chce grać ostro (200k) ten musi być na to przygotowany.
Zresztą tak bywa nie tylko w Polsce - pozwolę sobie przypomnieć sprawy
DVD Jona (chyba USA), Elcomsoftu (USA), Pirate Bay (SE), serwerów Tor
(DE). Tylko że w tych krajach sądownictwo nie tkwi jedną nogą w PRL i
dlatego procedury są sprawniejsze.
RoMan Mandziejewicz
Wednesday, April 11, 2007, 3:00:13 PM, you wrote:
>> Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
>> przełamaniu.
> Było przełamanie "zabezpieczeń" CMSu MEN.
Był dostęp do niezabezpieczonych danych.
>> Załóżmy przez chwilę, że żyjemy w państwie prawa i dopóki się nie
>> udowodni przestępstwa domniemamy jednak niewinność...
> W takim założeniu chciałem zwrócić uwagę na coś innego.
> Co za nierób odpowiada za bezpieczeństwo MEN? Kto dopuścił do
> wpuszczenia TAKIEGO CMSa? Kto za to odpowiada i jakie poniesie
> konsekwencje?
Nikt nie odpowiada a konsekwencje poniesie jakiś mało znaczący,
niebędący w aktualnym układzie, szeregowy pracownik.
> Panowie, MEN to instytucja która utrzymuje się z naszych podatków i
> mamy pełne prawo do wglądu w jej funkcjonowanie. Niechże w tym
> państwie ktoś w końcu poniesie konsekwencje!
Założenie "państwa prawa" było tylko chwilowe - tak naprawdę żyjemy w
państwie Prawa i Sprawiedliwości - Lech skończył prawo a Jarosław
(wy)kończy właśnie sprawiedliwość...